密码学家就量子计算是否构成威胁下注5000美元

量子计算与密码学之间存在一种奇妙的叠加态——它既是一种潜在威胁，又是一项目前对解密毫无实际影响的技术。如今，两位知名密码学家正准备就这一不确定状态将如何演变为可衡量的结果，展开一场赌注。

过去十年间，美国国家标准与技术研究院（NIST）一直在推动后量子密码学（PQC）的发展，其依据是：未来某一天，量子计算机将有能力破解采用传统算法加密的数据。

然而，也有人对此持怀疑态度。去年，新西兰奥克兰大学计算机科学教授彼得·古特曼在接受《寄存器》采访时，对PQC表示了否定。他指出，由于量子计算机目前无法有效纠错，甚至连35（6位二进制）这个数字都无法完成因式分解。而椭圆曲线密码学的私钥默认长度为256位，量子计算机要实现真正的破解，还有很长的路要走。

然而就在一周前，谷歌宣布对破解椭圆曲线密码所依赖的离散对数问题（ECDLP-256）所需的量子计算资源重新进行了评估。谷歌研究人员表示，运行肖尔算法（一种用于解决因式分解和离散对数问题的方法），所需的物理量子比特数量比此前估计减少了约20倍。

尽管如此，量子计算机何时能真正威胁到密码安全，目前仍无定论。NIST希望在2035年前淘汰易受量子攻击的算法，但没有人能确定这一时间节点是否合理，而安全厂商则坚持认为量子威胁迫在眉睫。

谷歌宣称的技术进展，以及瑞士苏黎世联邦理工学院（ETH Zurich）于近期发布的量子进展报告，都表明相关担忧应当尽快得到重视——除非你认为近期的量子研究本身就站不住脚。

曾供职于谷歌的密码学工程师、开源维护者菲利波·瓦尔索达本周在一篇博客文章中援引了谷歌的最新研究及相关成果，主张向PQC的过渡需要加快步伐。

他暗指古特曼的反对立场过于浅薄，并援引德克萨斯大学奥斯汀分校计算机科学系主任、量子计算领域顶尖专家斯科特·阿伦森的相关表态，强调认真对待PQC的紧迫性。

"总的来说，也许十年后这些预测会被证明是错的，但也有可能很快就会被证明是对的，而这种风险目前已经不可接受。"瓦尔索达写道。

约翰斯·霍普金斯大学计算机科学副教授马修·格林注意到了瓦尔索达的这篇文章，并在Bluesky平台的一条帖子回复中表示："我认为这是一个合理的预防性分析，但我愿意押下巨额赌注，认为2029年甚至2035年之前不会出现真正具备密码破解能力的量子计算机。"

两人随后进行了一番友好探讨。格林提出了一个单边验证方式：购买一些比特币并公开其公钥——言下之意是，如果真的出现了具备密码破解能力的量子计算机（CRQC），它将能够破解保护该私钥的椭圆曲线数字签名算法（ECDSA），从而盗取资金。

不过，这对密码学家最终似乎选择了一种双边对赌的方式，具体方案由格林起草。

赌注金额为5000美元。若ML-KEM-768（一种近期获批的抗量子算法）的共享密钥被从公钥和密文中成功还原——无论通过经典攻击还是量子攻击——瓦尔索达将支付赌注；若X25519（一种广泛使用的椭圆曲线算法）的共享密钥被从曲线上的一对公共点中成功还原——无论通过经典还是量子手段——则由格林负责支付。

理论上，X25519比ML-KEM-768更容易被量子密码破解机攻克，因为后者在设计上对量子密码分析具有更强的防御能力。因此，格林实际上是在赌：密码分析领域的进展，将在量子系统真正发挥作用之前，先暴露出基于模格的密钥封装机制（ML-KEM）的弱点。

截至太平洋时间本周三上午，这一赌注尚未正式确立。瓦尔索达在给媒体的电子邮件中表示，临时出现了一些意外情况，但他预计赌约很快就会正式签订。

"生活中出了点状况，我想我们今天或明天就会把协议敲定。"他说道。

时间正在流逝。

Q&A

Q1：后量子密码学（PQC）是什么，为什么NIST要推动它的发展？

A：后量子密码学是一类专门设计用来抵御量子计算机攻击的加密算法体系。NIST推动PQC的原因在于，现有的椭圆曲线密码等传统加密算法，在未来功能足够强大的量子计算机面前可能会被轻松破解。NIST计划在2035年前完成对易受量子攻击算法的淘汰替换，以保障未来的数据安全。

Q2：谷歌关于量子计算的最新研究说明了什么？

A：谷歌研究人员重新评估了利用肖尔算法破解椭圆曲线密码（ECDLP-256）所需的量子资源，发现所需物理量子比特数量比此前估算减少了约20倍。这一进展意味着量子计算对现有密码体系的威胁可能比预期来得更早，但目前仍无法确定具备实际破解能力的量子计算机具体何时会出现。

Q3：瓦尔索达和格林的5000美元赌注具体是怎么设定的？

A：赌注采用双边对赌形式。若ML-KEM-768算法的共享密钥被成功破解，瓦尔索达支付5000美元；若X25519算法的共享密钥被成功破解，则由格林支付5000美元。前者是抗量子算法，后者是传统椭圆曲线算法，格林实际上是在押注：传统算法的弱点在量子计算机成熟之前不会被发现。